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(57) Abstract 

The invention 
concerns a method for 
protecting a parent security 
key (KMi)for authenticating 
user cards with a reader 
comprising a security 
application module (SAM), 
characterised in that a first 
part of the parent security 
key (KMn) is stored in a 
memory of the security 
module (SAM); a second 
part of the parent security 
key (KM 1 2) is stored in 
a supervisory card (CS) 
memory; and a temporary 
copy of the second part 
of the parent security 
key (KM 1 2) is brought 
by the supervisory card 
(CS) into a memory of the 
security module (SAM). The 

invention is applicable in particular to closed systems such as the cash-desks of department stores or slot machines of a casino for example. 
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(57) Abreg* 

La presente invention se rapporte a un precede dc protection d'une c\6 mere (KMi) destinee a permettre rautentification de cartes 
utilisateurs par un lecteur comprenant un module de securit6 (SAM). Ce proc6d6 est caractdrisd en ce qu'une premiere partie de la cle mere 
(KMn) est stockee dans une memoire du module de securite (SAM), une deuxifcme partie de la cl6 mere (KMn) est stockee dans une 
memoire d'une carte superviseur (CS), et en ce qu'une copie tern pora ire de la deuxi6me partie de la cl6 mere (KM 12) est apportee par la 
carte superviseur (CS) dans une memoire du module de security (SAM). L' invention s* applique notamment a des systemes fermes commc 
les caisses d'un grand magasin ou les machines de jeu d'un casino par exemple. 
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PROCEDE DE PROTECTION D'UNE CLE MERE DESTINEE A 
PERMETTRE L 9 AUTHENTIFICATION DE CARTES UTILISATEURS 

La presente invention se rapporte aux applications 
d'authentif ication de cartes utilisateurs. Elle se 
rapporte plus particulierement a un procede de 
protection d'une cle mere destinee a permettre 
5 I'authentif ication de cartes utilisateurs par un 
lecteur comprenant un module de securite. 

Pour securiser une application, il est cpurant 
aujourd'hui d'utiliser un module de securite SAM 
(Security Application Module) place dans un lecteur de 

10 carte. Ce module de securite SAM possede, dans une zone 
consideree comme protegee , une "cle mere" constituant 
la base de toute la securite de 1 ' application . 

Cette cle mere est programmee dans une zone memoire 
du module de securite, lors de la fabrication ou de la 

15 personnalisation de ce dernier- Une fois cette cle 
ecrite, l'acces a la zone memoire est" generalement 
verrouille vis a vis de l'exterieur du circuit aussi 
bien en ecriture, en mise a jour et en lecture. La 
memoire dans laquelle est enregistree cette cle mere 

2 0 est en general une memoire electr iquement programmable 
de type EEPROM . 

La figure 1 schematise un module de securite SAM 
classique et une carte utilisateur CU. Le module de 
securite SAM possede un microprocesseur MP permettant 

25 de mettre en oeuvre un algorithme de cryptage par 
exemple l f algorithme DES (Data Encryption Security), 
une memoire morte de type ROM, une memoire volatile de 
travail de type RAM, et une memoire electr iquement 
programmable de type EEPROM. La cle mere KM, permettant 
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la mise en oeuvre du protocole d ' authentif ication , est 
stockee dans la memoire electriquement programmable de 
type EEPROM. 

La carte utilisateur CU comporte elle aussi un 
5 microprocesseur MP permettant de mettre en oeuvre 
l'algorithme de cryptage DES, une memoire morte de type 
ROM, une memoire volatile de travail de type RAM et une 
memoire electriquement programmable de type PROM ou 
EEPROM. Le numero de serie S de la carte utilisateur CU 
10 et une valeur KD, correspondant a une diversification 
de la cle mere KM, sont stockes dans la memoire de type 
PROM ou EEPROM. Cette memoire de type PROM ou EEPROM 
est verrouillee en ecriture, en mise a jour et en 
lecture au moyen d'un fusible par exemple. 
15 Ainsi, lorsque la carte utilisateur CU est inseree 

dans un lecteur, elle transmet au module de securite 
SAM, son numero de serie S par exemple. A partir de ce 
numero S et de la cle mere KM, le module de securite 
met en oeuvre l'algorithme de cryptage DES et calcule 
20 une valeur KD' correspondant a une diversification de 
la cle mere KM, selon 1 ' equation suivarite : 
KD'=DES(S,KM) . 

Par ailleurs, le module de securite genere un 
nombre aleatoire, denomme ALEA1 . La valeur de l'ALEAl 
25 est transmise a la carte CU. La carte CU genere elle 
aussi un autre nombre aleatoire denomme ALEA2 et 
calcule, a partir des valeurs de KD et de 1 ' ALEA2 , une 
cle de cession Kf, encore denommee cle fille. Ce calcul 
de la cle fille se fait au moyen de l'algorithme de 
3 0 cryptage DES, selon 1' equation suivante : 
Kf =DES ( ALEA2 , KD) . Puis, a partir de cette cle de 
cession Kf et de 'l'ALEAl transmis par le module de 
securite SAM, la carte calcule une valeur intermediaire 
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R, au moyen de 1 ' algorythme de , cryptage DES , selon 
1' equation R— DES ( ALEA1 , Kf ) . 

La valeur R ainsi calculee et 1 ' ALEA2 genere par la 
carte CU sont ensuite transmis au module de securite. 
5 Le module SAM calcule, de la meme maniere, une autre 
cle de cession Kf ' =DES ( ALEA2 , KD 9 ) et une autre valeur 
R'=DES (ALEAl,Kf ') , puis il compare les deux valeurs R 
et R 9 . 

Si ces valeurs sont identiques, la carte CU est 
10 authentifiee et autorisee a echanger des donnees avec 
. .le lecteur. En revanche, si ces deux valeurs sont 
dif ferentes , la carte CU n'est pas authentifiee et 
aucun dialogue n'est possible avec le lecteur. 

La cle mere KM permet done de mettre en oeuvre un 
15 protocole d' authentif ication de cartes utilisateurs 
pour securiser une application. Par consequent, la 
securite d'une application repose sur 1 ' inviolabilite 
de la cle mere stockee dans le module de securite SAM. 

Certaines publications annoncent pouvoir recuperer 
20 f rauduleusement la cle mere par une analyse 
cryptographique, ou par une. attaque physique du module 
ou par tout autre moyen . 

Ainsi, en inondant le lecteur de donnees connues, 
au moyen d'une carte utilisateur quelconque, il est 
25 theoriquement possible, apres un grand nombre d'essais, 
de retrouver la cle mere a partir des messages renvoyes 
du lecteur vers la carte et codes par cette cli. Dans 
tous les cas, pour pouvoir acceder a cette cle mere, le 
module de securite doit necessairement etre arrache du 
30 lecteur et par consequent mis hors tension. 

La presente invention permet de resoudre le 
probleme expose ci-dessus. En effet, pour eviter qu'une 
attaque sur le module de securite permette de recuperer 
la cle mere, celle-ci est avantageusement partagee en 
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deux parties stockees sur des supports de memorisation 
physiquement et geographiquement distincts. 

Avantageusement une premiere partie est stockee dans 
une memoire du module de securite tandis que la 
5 deuxieme partie est stockee dans une carte a puce 
detenue par une personne habilitee, et denommee par la 
suite carte superviseur. 

La carte superviseur permet d'apporter la deuxieme 
partie de la cle mere et ainsi de deverrouiller les 

10 fonctions cryptographiques du module de securite: f. 

La presente invention se rapporte plus 
particulierement a un procede de protection d'une cle 
mere destinee a permettre 1 ' autheritif ication de cartes 
utilisateurs par un lecteur comprenant un module de 

15 securite, caracterise en ce qu' 

- une premiere partie de la cle mere est 
stockee dans une memoire du module de securite, 

- une deuxieme partie de la cle mere (KM 12 ) 
est stockee dans un support de memorisation 

2 0 physiquement et geographiquement distinct (CS) , 
et en ce qu' 

- une copie temporaire de la deuxieme partie 
de la cle mere est apportee par la carte superviseur ( 
dans une memoire du module de securite* 

25 Le support de memorisation detenant la deuxieme 

partie de la cle mere est une carte a puce superviseur • 

De maniere avantageuse, la premiere partie de la 
cle mere est stockee dans une memoire electr iquement 
programmable, de type EEPROM, du module de securite et 

30 recopiee dans une memoire volatile de type RAM dudit 
module de securite. 

De meme, la deuxieme partie de la cle mere est 
stockee et protegee dans une memoire electriquement 
programmable, de type EEPROM, de la carte superviseur 
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et sa copie est apportee dans une memoire volatile de 
travail, de type RAM, du module de securite. 

Selon une autre caracteristique de 1' invention, la 
totalite de la cle mere est recomposee et stockee dans 
5 la memoire volatile, de type RAM, du module de 
securite. 

Par exemple, la cle mere est recomposee sur 8 ou 16 
octets. 

Enfin, la copie de la deuxieme partie de la cle 

10 mere peut etre apportee dans la memoire du module de 
securite sous forme cryptee. 

Le reste des operations d ' authentif ication se fait 
de maniere classique, a partir de la cle mere totale 
recomposee et stockee dans une memoire de type RAM du 

15 module de securite. Le fait que cette cle soit stockee 
dans la RAM permet de la proteger contre toute 
tentative de recuperation puisqu'elle est detruite des 
que le module de securite est mis hors tension. 

Pour augmenter la securite, on procedera au 

20 prealable a une authentif ication de la carte 
superviseur. Une deuxieme cle mere est stockee, en 
totalite, dans une memoire du module de securite, de 
maniere a permettre 1 ' authentif ication de cette carte 
superviseur. De preference, cette deuxieme cle mere est 

25 stockee dans une memoire electr iquement programmable, 
de type EEPROM du module de securite. 

Cette deuxieme cle mere ne permet 

1' authentif ication que d'un seul type de carte : la 
carte superviseur. Elle ne peut done pas etre recuperee 

30 ' au moyen d'une carte quelconque comme la premiere cle 
mere. 

Grace au procede selon 1' invention, deux obstacles 
s'opposent done a toute tentative de recuperation de la 
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cle mere destinee a permettre 1 ' authentif ication de 
cartes utilisateurs . 

Le premier obstacle reside dans le fait que la cle 
mere est partagee en deux parties stockees sur des 
5 supports de memorisation proteges, physiquement et 
geographiquement distincts dont un est une carte a puce 
"specif ique" . Par consequent, pour pouvoir reconstituer 
la totalite de la cle il faut tout d'abord avoir acces 
a cette carte "specif ique" . 

10 Le deuxieme obstacle reside dans le fait que la cle 

mere, une fois reconstitute, est stockee temporairement 
dans le module de securite, avantageusement dans une de 
ses memoires volatiles de maniere a ce qu'elle puisse 
etre detruite des que le module de securite est mis 

15 hors tension. 

Le procede selon 1' invention s ' applique notamment a 
des systemes fermes tels que les caisses d'un grand 
magasin ou alors les machines de jeu d'un casino par 
exemple. 

20 D'autres particularity et avantages de 1' invention 

apparaitront a la lecture de la description faite a 
titre d'exemple non limitatif, en reference aux figures 
annexees qui representent : 

- la figure 1, deja decrite, un schema d'un module 
25 de securite classique et d'une carte utilisateur, 

- la figure 2, un schema d'un module de securite et 
d'une carte superviseur utilises pour la mise en oeuvre 
du procede selon 1' invention, 

- la figure 3 V , un organigramme d'un protocole 
30 d' authentif ication d'une carte utilisateur mettant en 

oeuvre. le procede selon 1' invention. 

Le schema de la figure 2 permet de comprendre la 
maniere dont la cle mere KM 1; destinee a permettre 
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l'authentif ication de cartes utilisateurs quelconques, 
est stockee, apres sa recomposition, dans le module de 
securite SAM. 

Le module de securite SAM est de type classique : 
5 il comprend un microprocesseur MP, une memoire morte de 
type ROM, une memoire volatile de travail de type RAM, 
et une memoire electriquement programmable de type 
EEPROM. Le microprocesseur MP permet de mettre en 
oeuvre un algorithme de cryptage comme par exemple 

10 1' algorithme DES. 

De preference une cle mere KM 2 destinee a 
authentifier une carte specif ique, dite superviseur CS , 
est stockee dans la memoire electriquement programmable 
et a acces protege, de maniere a ce qu'elle ne soit 

15 accessible ni en lecture ni en ecriture. Cette cle mere 
KM 2 n'est destinee a authentifier qu'une seule carte si 
bien que son acces n'est pas interessant pour un 
eventuel fraudeur. En effet, la cle susceptible 
d'interesser un fraudeur est celle qui permet 

20 d' authentifier une carte utilisateur quelconque afin de 
pouvoir acceder a certaines applications. 

De maniere avantageuse, une telle cle,. referencee 
KM 1 sur la figure 2, est partagee en deux parties, 
entre le module de securite SAM et la carte superviseur 

25 CS. Par consequent, pour pouvoir recomposer la totalite 
de la cle mere KM 1# il faut, dans un premier temps, 
avoir acces a la carte superviseur CS. 

La carte superviseur CS comprend, tout comme une 
carte classique, un microprocesseur MP perraettant de 

3 0 mettre en oeuvre un algorithme de cryptage DES, une 
memoire morte de type ROM, une memoire volatile de 
travail de type RAM et une memoire electriquement 
programmable de type EEPROM. De preference, un numero 
de serie S et une valeur KD2 , correspondant a une 
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diversification de la cle mere KM2 d' authentif ication § 
de la carte superviseur CS, sont stockes dans la 
memoire . electriquement ■ programmable EEPROM de cette 
carte superviseur CS. 
5 De maniere avantageuse, la cle mere KM^ destinee a 

authentifier des cartes utilisateurs est partagee entre 
le module SAM et la carte superviseur CS. De 
preference, une premiere partie de cette cle KM 11 est 
stockee dans la memoire electriquement programmable 

10 EEPROM du module de securite SAM tandis que la deuxieme 
partie de cette cle KM 12 est stockee dans la memoire 
electriquement programmable EEPROM de la carte 
superviseur CS. . 

Ainsi, lorsque la carte superviseur CS. est inseree 

15 dans un lecteur, et qu'elle est habilitee a dialoguer 
avec lui, elle apporte au module de securite SAM de ce 
lecteur une copie temporaire de la deuxieme partie KM 12 
manquante de la cle. 

De preference, la copie de la deuxieme partie de la 

2 0 cle KM 12 est apportee dans la memoire volatile de 
travail de type RAM du module de securite. De la meme 
maniere, la premiere partie de la cle mere KM X1 est 
recopiee dans la memoire volatile de travail RAM du 
module de securite, af in de pouvoir recomposer la 

25 totalite de cette cle KM 1 . 

La totalite de la cle mere KM^ est de preference 
reconstitute sur 8 ou 16 octets. Bien sur, dans une 
variante de realisation, cette cle peut etre recomposee 
sur plus ou moins d' octets. 

30 Selon une autre variante de realisation il est en 

outre possible que la copie temporaire de la deuxieme 
partie de la cle mere KM 12 soit apportee sous forme 
cryptee dans la memoire du module de securite SAM, de 
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maniere a eviter qu'elle ne soit interceptee lors de 
son transfert vers lie module de securite. 

Le fait de stocker la cle mere KM X dans une memoire 
volatile de type RAM permet de la proteger contre toute 
5 tentative de recuperation puisqu'elle est detruite des 
que le module de securite est mis hors tension. 

De plus, on peut imaginer que le microprocesseur MP 
du module de securite detruise la cle des qu'il detecte 
une attaque quelconque du module SAM, c'est a dire 
10 avant la mise hors tension. 

Ainsi, meme si le premier obstacle a la 
recuperation de . la cle mere a ete franchi, a savoir 
l'acces a la carte CS, un deuxieme obstacle subsiste : 
la destruction de la cle lors de la mise hors tension 
15 du module SAM. 

L'organigramme de la figure 3 schematise un 
protocole d ' authentif ication d'une carte utilisateur 
CUn * quelconque mettant en oeuvre le procede de 

20 protection de la cle mere KM^ selon 1 ' invention. 

Ce protocole d' authentif ication comprend trois 
phases distinctes. La premiere phase, referencee 100 
sur la figure 3, correspond a 1' authentif ication d'une 
carte superviseur CS ; la deuxieme phase, referencee 

25 200 sur la figure 3, correspond a ,1a recomposition de 
la cle mere KM X destinee a permettre la realisation de 
la troisieme phase, referencee 3 00, a savoir 
1' authentif ication d'une carte utilisateur quelconque 
CUn , 

30 L' authentif ication de la carte superviseur CS 

(reference 100) est realisee selon une procedure 
classique telle que decrite precedemment . Cette 
procedure est a nouveau brievement expliquee au regard 
de la figure 3. La carte superviseur transmet son 
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numero de serie S au module de securite SAM de maniere 
a ce que ce dernier puisse calculer une valeur KD 2 ' de 
diversification de la cle mere KM 2 correspondante. 
Cette valeur KD' 2 est calculee a partir de S et KM 2 , au 
5 moyen de l'algorithme de cryptage DES (c'est 1'etape 
110) . Une valeur correspondante KD de diversification 
de la cle mere KM2 est par ailleurs stockee dans une 
memoire de la carte CS. 

Le module de securite SAM et la carte CS generent 

10 chacun un nombre aleatoire, respect ivement ALEA1 et 
ALEA2 (etapes 12 0 et 121) • Les valeurs des ALEA1 et 
ALEA2 sont respectivement transmises a la carte CS et 
au module SAM (etapes 120 et 131) . . 

La carte CS d'une part et le module SAM d' autre 

15 part calculent chacun une cle fille, ou cle de cession, 
notee respectivement Kf 2 et Kf' 2 a partir des valeurs 
KD 2/ KD' 2 et de l'ALEA2, au moyen de l'algorithme de 
cryptage DES • (ce sont les etapes 130 et 140) . Des 
valeurs intermediates R 2 et R' 2 , sont ensuites 

20 calculees respectivement par la carte CS et le module 
de securite SAM, a partir de l'ALEAl et des cles filles 
Kf 2/ Kf 2 (etapes 131, 141). La valeur R 2 calculee par 
la carte CS est transmise au module SAM et comparee a 
la valeur intermediaire R' 2 calculee par ce module 

25 (c'est 1'etape 150). Cette comparaison est effectuee 

par le module SAM. 

Si ces deux valeurs sont differentes, la carte 
n'est pas authentif iee , elle ne peut done pas dormer 
l'habilitation pour proceder a 1 ' authentif ication des 

30 cartes utilisateurs , c'est a dire qu'elle ne peut etre 
utilisee en tant que carte superviseur. . 

En revanche, lorsque les deux valeurs sont 
identiques, alors la procedure d' authentif ication d'une 
carte utilisateur CUn peut commencer . Pour cela, la cle 
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mere correspondante KM 1 doit etre recomposee 
temporairement a partir de la premiere partie KM 1;L 
stockee en memoire du module SAM et de la copie de la 
deuxieme partie KM 12 manquante apportee en memoire du 
5 module de securite . SAM par la carte superviseur CS 
(c'est l'etape 200). 

La copie de cette deuxieme partie KM 12 de cle est 
par exemple apportee sous forme cryptee de maniere a 
eviter qu'elle ne soit interceptee lors de son 

10 transfert. La cle KM^ est de preference recomposee dans 
la memoire RAM du module SAM. 

La procedure d' authentif ication 3 00 d'une carte 
utilisateur CUn, a partir de cette cle KM 1 recomposee, 
est classique et identique a celle qui vient d'etre 

15 decrite precedemment , c'est pourquoi elle n'est pas a 
nouyeau expliquee. 

Le procede de protection d'une cle mere, destinee a 
permettre 1 ' authentif ication de cartes utilisateurs, 
tel qu'il vient d'etre deer it s' applique notamment a 

2 0 des systemes fermes tels les caisses d'un grand 
magasin, ou alors les machines de jeu d'un casino par 
exemple. Dans ce cas, il suffit d'introduire la carte 
superviseur CS, a l'ouverture du magasin ou du casino, 
dans un serveur apte a recomposer la cle mere KM^ et a 

25 piloter 1' ensemble des caisses ou des machines de jeux. 
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R EVEND I C AT I OKS 

1. Precede de protection d'une cle mere (KM 1 ) 
destinee a permettre 1 ' authentif ication de cartes 
utilisateurs par un lecteur comprenant un module de 
5 s.ecurite (SAM) , 

caracterise en ce qu' 

- une premiere partie de la cle mere (KM l;L ) est 
stockee dans une memoire du module de securite (SAM) > 

- une deuxieme partie de la cle mere (KM 12 ) est 
10 stockee dans un support de memorisation physiquement et 

geographiquement distinct (CS) , 
et en ce qu' 

- une copie temporaire de la deuxieme partie de la 
cle mere (KM 12 ) est apportee par la carte superviseur 

15 (CS) daris une memoire du module de securite (SAM) . 

2- Procede selon la revendication 1, en ce que le 
support de memorisation est realise par une carte a 
puce superviseur (CS) . 

20 

.3. Procede selon les revendications 1 ou 2, 
caracterise en ce que la premiere partie de la cle mere 
(KM 1X ) est stockee dans une memoire electriquement 
programmable de type EEPROM du module de securite 
25 (SAM) , et recopiee dans une memoire volatile de type 

RAM dudit module de securite. 

4. Procede selon l'une quelconque des 
revendications precedentes, caracterise en ce que la 
30 deuxieme partie de la cle mere (KM 12 ) est stockee dans 
une memoire electriquement programmable de type EEPROM 
de la carte superviseur CS , et sa copie est apportee 
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dans une memoire volatile de type RAM du module de 
securite (SAM) . 

5. Procede selon 1'une quelconque des 
5 revendications precedentes, caracterise en ce que la 
totalite de la cle mere (KM 1 ) est recomposee et stockee 
dans la memoire volatile de type RAM du module de 
securite (SAM) • 

10 6. Procede selon 1'une quelconque des 

revendications precedentes, caracterise en ce que la 
cle mere (KM 1 ) est recomposee sur 8 ou 16 octets, 

7. Procede selon 1'une quelconque des 
15 revendications precedentes, caracterise en ce que la 
copie de la deuxieme partie de la cle mere (KM 12 ) est 
apportee dans la memoire du module de securite (SAM) 
sous forme cryptee. 

2 0 8. Procede selon 1'une quelconque des 

revendications precedentes, caracterise en ce qu'une 
deuxieme cle mere (KM 2 ) est stockee en totalite dans 
une memoire du module de securite (SAM) , de maniere a 
permettre 1 ' authentif ication de la carte superviseur 

25 (CS) v 

9. Procede selon la revendication 8, caracterise en 
ce que la deuxieme cle mere (KM 2 ) est stockee dans une 
memoire electriquement programmable et a acces protege 
30. de type EEPROM du module de securite (SAM). 
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